Cisco Jabber - от успешного внедрения к безотказной эксплуатации
Vladimir Savostin Technical Leader, Центр Технической Поддержки (Cisco TAC) [email protected]
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Cisco Jabber как платформа
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2
Инфраструктура Пользователи
Collaboration edge Поиск неисправностей
Поиск сервисов UDS и LDAP
Cisco Jabber как платформа
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 3
Корпоративные сервисы Интернес сервисы
Collaboration Edge / MRA Collaboration клиенты
Cisco Jabber как платформа
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 4
Лаборатория, тестирование, ad-hoc сценарии
Органически выросшие сети, M&A, уровень кастомизации
1 ---------------------------------------------
кол-во проблем
Cisco Jabber как платформа Архитектура
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 5
Webex Meeting Plugin
Библиотеки CSF - Common
services framework
Common Libs (portability, foundation,
logging) Jabberwerx
C++ CSF2G
Voicemail
Person Manager
Record Source
Record Source
ECC
CPVE
SIPCC
Плагины Plugin
Runtime
IM & Presence
Plugin
Telephony Plugin
Voicemail Plugin
Contacts Plugin
Hub UI Plugin
Сервисы IM &
Presence Service
Telephony Service
Voicemail Service
Contacts Service System Service
Cisco Jabber. Инфраструктура
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 6
Cisco Jabber. Инфраструктура NTP
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 7
CUCM Publisher CUP Publisher, CUCM/CUP Subscribers (!) добавить NTP сервера на subsequent ноды нельзя
Cisco Jabber. Инфраструктура NTP
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 8
Конфигурация ESXi хоста
Обратите внимание: - несколько NTP серверов с
наилучшим stratum-ом
- NTP сервера в разных сегментах сети (DC)
- на хостах и VM одни и те же NTP сервера
- CUCM Publisher – единый центр синхронизации времени в кластере
Cisco Jabber. Инфраструктура DNS
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 9
- Все сервера кластера в прямой (A) и обратной (PTR) зонах
- Нет alias-ов (CNAME), всегда возвращается одна запись
- В CCMAdmin -> System –> Server прописаны FQDN
Cisco Jabber. Инфраструктура DNS
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 10
- Проверка DNS • CLI: utils network traceroute <IP address> • CLI: utils network ping <FQDN>
• CLI: utils diagnose test
Cisco Jabber. Инфраструктура DNS для MRA
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 11
DNS SRV записи
_cisco-uds._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUCM1.domain.name _cisco-uds._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUCM2.domain.name _cuplogin._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUP1.domain.name _cuplogin._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUP2.domain.name
_collab-edge._tls.<domain.name> 86400 IN SRV 10 10 8443 ExpE1.domain.name _collab-edge._tls.<domain.name> 86400 IN SRV 10 10 8443 ExpE2.domain.name
Внутренний DNS
Внешний DNS
Cisco Jabber. Инфраструктура DNS для MRA
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 12
DNS SRV записи
_cisco-uds._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUCM1.domain.name _cisco-uds._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUCM2.domain.name _cuplogin._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUP1.domain.name _cuplogin._tcp.<domain.name> 86400 IN SRV 10 10 8443 CUP2.domain.name
_collab-edge._tls.<domain.name> 86400 IN SRV 10 10 8443 ExpE1.domain.name _collab-edge._tls.<domain.name> 86400 IN SRV 10 10 8443 ExpE2.domain.name
Внутренний DNS
Внешний DNS
Cisco Jabber. Инфраструктура CLM
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 13
Cluster Manager CLM использует порт 8500
Cisco Jabber. Инфраструктура CLM
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 14
Если не работает CLM:
• непостоянные правила Firewall-а • репликация базы данных не происходит • Синхронизация данных между CUCM и CUP • SDL связи не устанавливаются м/у серверами
Cluster Manager – транспорт
8.x и < 9.x 10+
CUCM UDP TCP TCP
CUP UDP UDP TCP
Cisco Jabber. Инфраструктура IDS DB
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 15
CUCM/IM&P кластер
CUCM CUCM
CUCM CUCM
IDS репликация
IDS репликация
IM&P IM&P
IM&P IM&P
IDS репликация
IDS репликация
Sync Agent
CUCM и IM&P имеют раздельные домены репликации IDS
Архитектура базы данных CUCM/IM&P
Cisco Jabber. Инфраструктура IDS DB
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 16
Репликация базы данных CUCM
СUP
Восстанавливаем репликацию • на каждом Subscriber-e: utils dbreplication stop (ждем пока закончится) • на Pubscriber-e: utils dbreplication stop (ждем пока закончится) • на каждом сервере: utils dbreplication dropadmindb • на Pubscriber-e: utils dbreplication reset all (может занять несколько часов)
Cisco Jabber. Инфраструктура IDS DB
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 17
Cisco Unified Presence Reporting GUI и RTMT
Cisco Jabber. Пользователи
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 18
Cisco Jabber. Пользователи LDAP импорт
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 19
• Параметры импорта LDAP задаются только на CUCM (System -> LDAP –> Directory)
• DC (389/636) или GC (3268/3269)
• Группы доступа назначаются во время импорта из LDAP
• Фильтр импорта по умолчанию
Cisco Jabber. Пользователи LDAP авторизация
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 20
• Параметры авторизации LDAP задаются только на CUCM (System -> LDAP -> Authentication)
• CUP синхронизирует эти данные и использует их при авторизации пользователей
Cisco Jabber. Пользователи CUCM user -> IM&P user
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 21
1. Пользователь импортирован 2. Ему назначен Home cluster и сервис профайл 3. Пользователь входит в группу Standard CCM End Users
4. Назначаен на CUP сервер
Cisco Jabber. Пользователи Проверяем базу данных
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 22
Проверяем через CUCM CLI …
и CUP CLI (синхронизированы все)
…но не все активированы для CUP
Посмотрим пользователей Проверим контакты
Cisco Jabber. Пользователи Проверяем базу данных
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 23
Проверим параметры пользователя на CUP
tkuserprofile 1 - это локальный пользователь 100 - это удаленный пользователь primarynodeid если NULL, пользователь не ассоциирован с IM&P сервером
Cisco Jabber. Service Discovery
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 24
Cisco Jabber. Service Discovery
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 25
Cisco Jabber. Service Discovery
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 26
Подписка… на UC Сервисы
Определение… Домена UC Сервисов
Выбор… Режима работы
Cloud или On-Premise
Нахождение… Местоположения
Inside или Outside
Cisco Jabber. Service Discovery Логика запуска процесса
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 27
• Первый запуск Cisco Jabber отсутствует кэшированная информация
• Изменение сетевого интерфейса пользователь переключается на корпоративную сеть
• Ошибка соединения (SIP, XMPP & HTTP) Пользователь выходит из корпоративной сети
Cisco Jabber. Service Discovery Определение домена (Service Discovery Domain)
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 28
Cisco Jabber. Service Discovery Определение режима работы и местоположения
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 29
• Jabber отправляет все запросы (HTTP и DNS) одновременно
• Для регистрации сервисов Jabber использует ответ с наибольшим приоритетом
Приоритет Сервис HTTP запрос / DNS SRV
1 WebEx Messenger HTTP CAS запрос
2 Unified CM с 9.x _cisco-uds._tcp.<domain.name>
3 Cisco Presence с 8.x _cuplogin._tcp.<domain.name>
4 Cisco Expressway _collab-edge._tls.<domain.name>
Cisco Jabber. Service Discovery Определение режима работы и местоположения
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 30
Приоритет Сервис HTTP запрос / DNS SRV
1 WebEx Messenger HTTP CAS запрос
2 Unified CM с 9.x _cisco-uds._tcp.<domain.name>
3 Cisco Presence с 8.x _cuplogin._tcp.<domain.name>
4 Cisco Expressway _collab-edge._tls.<domain.name>
Cloud/Hybrid
On-Premises
Приоритет Сервис HTTP запрос / DNS SRV
1 WebEx Messenger HTTP CAS запрос
2 Unified CM с 9.x _cisco-uds._tcp.<domain.name>
3 Cisco Presence с 8.x _cuplogin._tcp.<domain.name>
4 Cisco Expressway _collab-edge._tls.<domain.name>
Inside
Outside
Cisco Jabber. Service Discovery Настройка параметров обнаружения. MSI transformation
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 31
• домен для поиска WebEx Messenger сервиса (Cloud) SERVICES_DOMAIN
• домен для поиска on-prem UC инфрастуртуры (включая СUCM, CUP, Expressway)
VOICE_SERVICES_DOMAIN
• исключить сервисы из поиска EXCLUDED_SERVICES
• если автоматическое обнаружение не работает TFTP
• сервис, который должен авторизовать пользователя AUTHENTICATOR
• запретить/разрешить использование UPN UPN_DISCOVERY
ПО MS Orca для настройки параметорв в msi файле
Используется файл CiscoJabberProperties.mst в CiscoJabberSetup.msi
Cisco Jabber. Service Discovery Настройка параметров обнаружения. Windows Installer options
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 32
У нас нет WebEx Messanger-а • msiexec.exe /i CiscoJabberSetup.msi CLEAR=1 EXCLUDED_SERVICES=WEBEX
У нас нет WebEx Messanger-а, мы хотим заходить в Jabber for Windows разными польз-ми • msiexec.exe /i CiscoJabberSetup.msi CLEAR=1 EXCLUDED_SERVICES=WEBEX UPN_DISCOVERY_ENABLED=false
У нас нет WebEx Messanger-а, есть MRA и разные внутренний и внешний домены
• msiexec.exe /i CiscoJabberSetup.msi CLEAR=1 EXCLUDED_SERVICES=WEBEX SERVICES_DOMAIN=hulk.lab VOICE_SERVICES_DOMAIN=hulk-copr.com
У нас нет WebEx Messanger-а и есть только телефонные сервисы • msiexec.exe /i CiscoJabberSetup.msi CLEAR=1 EXCLUDED_SERVICES=WEBEX AUTHENTICATOR=CUCM
Cisco Jabber. Service Discovery Настройка параметров обнаружения. Configuration URL
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 33
• Работает на Mac, Android & iPhone/iPad
• Прежде чем воспользоваться URL-ом нужно установить Jabber • Во время инсталляции, Jabber регистрирует обработчик протокола ciscojabber
• URL отправляется по почте или публикуется на сайте • ciscojabber://provision?ServicesDomain=hulk.lab&VoiceServicesDomain=hulk-corp.com
• При запуске URL будет запущен Jabber и он обновит конфигурацию
Cisco Jabber. UDS и LDAP
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 34
Cisco Jabber. UDS User Data Services
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 35
• Tomcat сервис, начиная с версии 9.x замена CCMCIP, https транспорт
• Передает инф-ию о пользователях заинтересованным сервисам
• Network service, активирован на всех серверах кластера
• Уровень трейсов по умолчанию Info
Cisco Jabber. UDS Home Cluster
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 36
Cisco Jabber. UDS Home Cluster - несколько CUCM кластеров
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 37
Cisco Jabber. Авторизация пользователя LDAP
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 38
IM&P Server
XCP Conn Manager
XCP Auth Service
LDAP
AD GC XCP
Router
Backup LDAP AD GC
TCP 3268
Cisco Jabber. Авторизация пользователя LDAP
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 39
Cisco Jabber. Авторизация пользователя LDAP
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 40
Collaboration Edge / MRA / Expressway
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 41
Cisco Jabber. Collaboration edge Дизайн 1
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 42
UC сервисы
Internet
Внутренний Firewall
CUCM
Внешний DNS hulk-copr.com
Внешний Firewall DMZ
Expressway E
Expressway C
UnityCon LAN2 LAN1
Корп. DNS hulk-copr.com
Exp-E Public IP
- Один домен hulk-corp.com _cisco-uds._tcp, _cuplogin._tcp на Корп. DNS _collab-edge._tls на Внешнем DNS
- 2 интерфейса на Expressway E, traversal zone указывает на LAN1 - Static NAT на Expressway E - Static routes на Expressway E для корпоративных сетей
Static routes
IM&P
Cisco Jabber. Collaboration edge Дизайн 2
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 43
UC сервисы
Internet
Внутренний Firewall
CUCM
Внешний DNS hulk-copr.com
Внешний Firewall DMZ
Expressway E
Expressway C
UnityCon LAN1
Корп. DNS hulk.lab
Exp-E Public IP
- Два домена hulk.lab, hulk-corp.com _cisco-uds._tcp, _cuplogin._tcp на Корп. DNS hulk-lab.com _collab-edge._tls на Внешнем DNS
- 1 интерфейс на Expressway E, traversal zone указывает на Exp-E Public IP - Static NAT на Expressway E - Static routes на Expressway E для корпоративных сетей - VoiceServicesDomain=hulk-corp.com на Jabber клиентах
Static routes
Корп. DNS hulk-corp.com
IM&P
Cisco Jabber. Collaboration edge Дизайн 3
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 44
UC сервисы
Internet
Внутренний Firewall
CUCM
Внешний DNS hulk-copr.com
Внешний Firewall DMZ
Expressway E кластер
Expressway C кластер
UnityCon
Корп. DNS hulk-copr.com
Exp-E Public IPs
- особенности - Дизайн 1 или Дизайн 2 - DNS SRV записи на все сервера Expressway E c равными приоритетами и весами - Traversal zone пиры – все сервера кластера - TLS verify subject name – Cluster name, включенный в SAN сертификатов Exp-C - GEO DNS, разные домены (eu.hulk-corp.com) для распределенных сетей
Static routes
IM&P
Cisco Jabber. Collaboration edge Service Discovery
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 45
Внутренний Firewall
UC сервисы
CUCM Внешний DNS Hulk-corp.com
DNS SRV запрос _cisco-uds._tcp.hulk-corp.com
Not Found ✗
expwy1.hulk-corp.com ✓ TLS Handshake, проверка сертификата
DNS SRV запрос _collab-edge._tls.hulk-corp.com
Внешний Firewall
DMZ
HTTPS: get_edge_config?service_name=_cisco-
uds&service_name=_cuplogin
Expressway E
Expressway C
DNS SRV запросы _cisco-uds._tcp.hulk-corp.com _cuplogin._tcp.hulk-corp.com
Внутр DNS Hulk-corp.com
Cisco Jabber. Collaboration edge Особенности и поиск проблем
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 46
Начинаем с простого процесс service discovery должен работать внутри сети
тестируем Jabber for Windows - wireshark
если Jabber регистрируется внутри сети, тестируем Edge
проверяем обнаружение Home cluster
Внимание - DNS понимание требований к DNS SRV записям
можно ли реализовать дизайн с единым доменом
SRV записи могут быть в любом домене
A record должна указывать на FQDN Exp-E (System->DNS)
MRA Port Reference – для настройки правил на firewall-е
AnyConnect и Expressway могут использоваться совместно
Cisco Jabber. Файл конфигурации
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 47
Jabber-config файл генератор: https://supportforums.cisco.com/document/106926/jabber-config-file-generator
- выбрать параметры
- cохранить файл jabber-config.xml
- загрузить файл jabber-config.xml на все TFTP сервера CUCM кластера (OS Admin -> Software upgrades -> TFTP File Management)
- рестартовать TFTP сервис на всех TFTP серверах CUCM кластера (Serviceability -> Tools -> Control Center – Feature Services -> Cisco TFTP)
Cisco Jabber. Файл конфигурации
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 48
Проверяем файл
Cisco Jabber. Поиск неисправностей
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 49
Cisco Jabber. Поиск неисправностей
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 50
§ CUCM: CallManager, CTIManager (Detailed), AXL (DEBUG)
§ IM&P: XCP Conn Mgr, XCP Auth Service, XCP Router, PE, SIP Proxy (DEBUG)
§ Expressway: diagnostic logs for http, http.trafficserver, edgeconfigprovisioning,
sip, uds, axl (DEBUG)
§ Expressway: tcpdump
§ Jabber Problem Report (Detailed)
Трейсы компонентов и процессов
§ Notepad++
§ grep
§ LDAP browser
§ wireshark
§ WbxTracer
Cisco Jabber. Поиск неисправностей
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 51
https://cway.cisco.com/tools/SrvRecord
Cisco Jabber. Полезные ссылки
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 52
Jabber Complete How-To Guide for Certificate Validation http://www.cisco.com/c/en/us/support/docs/unified-communications/unified-presence/116917-technote-certificate-00.html
Mobile and Remote Access through Expressway/VCS in a Multi-Domain Deployment http://www.cisco.com/c/en/us/support/docs/unified-communications/expressway-series/117811-configure-vcs-00.html
Collaboration Edge Most Common Issues http://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/118798-technote-cucm-00.html
Cisco Collaboration Clients (SRND) http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab10/collab10/collabor.html Cisco IM and Presence http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab10/collab10/presence.html
Video
Russian Cisco Support Community
Data Center Voice Security
Routing and Switching
Contact Center
Unified Communications
Воспользуйтесь возможностью и задайте вопросы на форуме Технической Поддержки Cisco - http://russiansupportforum.cisco.com
Голосовая связь
Системы унифицированных коммуникаций Маршрутизация и коммутация
Видео Контакт центры
Центры Обработки данных
Безопасность CUCM CUBE
UCCX UCCE
Telepresence
ASA VPN IPS
ISR44xx/43xx
Nexus 7000 Cat 4900
4500 7600 6500
VSS Протоколы маршрутизации
IOS XE IOS IOS XR
ISR ISR G2
ASR1000
FWSM
ASR90x ASR9000
GSR12000 CRS
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu Cisco CiscoRussia CiscoRu
Пожалуйста, оцените выступление. Ваше мнение очень важно для нас.
Спасибо
Савостин Владимир [email protected]
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.